krypterings-tls

Postöverföringsagent-strikt transportsäkerhet (MTA-STS)

MTA-STS, ungefär som namnet antyder, är ett protokoll som möjliggör krypterad transport av meddelanden mellan två SMTP-e-postservrar. MTA-STS anger för sändande servrar att e-postmeddelanden endast ska skickas via en TLS-krypterad anslutning och inte bör levereras alls om en säker anslutning inte upprättas via STARTTLS-kommandot. Genom att förbättra säkerheten för e-postmeddelanden under överföring hjälper MTA-STS till att mildra MAN-In-The-Middle-attacker (MITM) som SMTP-nedgraderingsattacker och DNS-förfalskningsattacker.

Hur säkerställer MTA-STS kryptering av meddelanden under överföring?

Låt oss ta ett enkelt exempel för att förstå hur meddelanden krypteras under e-postflödet. Om en MTA skickar ett e-postmeddelande till [email protected]utför MTA en DNS-fråga för att ta reda på vilka MTA:er som e-postmeddelandet måste skickas till. DNS-begäran skickas för att hämta MX-posterna för powerdmarc.com. Den sändande MTA ansluter senare till den mottagande MTA som finns i DNS-frågeresultatet och frågar om den här mottagningsservern stöder TLS-kryptering. Om det gör det skickas e-postmeddelandet via en krypterad anslutning, men om det inte gör det misslyckas den sändande MTA att förhandla om en säker anslutning och skickar e-postmeddelandet i klartext.

Att skicka e-post över en okrypterad väg banar väg för genomgripande övervakningsattacker som MITM och SMTP-nedgradering. Låt oss ta reda på hur:

Bryta ner anatomin av en MITM attack

I huvudsak sker en MITM-attack när en angripare ersätter eller tar bort STARTTLS-kommandot för att göra den säkrade anslutningsåterställningen till en osäker, utan TLS-kryptering. Detta kallas en nedgraderingsattack. När du har utfört en nedgraderingsattack kan angriparen komma åt och visa e-postinnehållet utan hinder.

En MITM-angripare kan också ersätta MX-posterna i DNS-frågesvaret med en e-postserver som de har åtkomst till och har kontroll över. E-postöverföringsagenten levererar i så fall e-postmeddelandet till angriparens server, vilket gör det möjligt för honom att komma åt och manipulera e-postinnehållet. E-postmeddelandet kan sedan vidarebefordras till den avsedda mottagarens server utan att upptäckas. Detta kallas en DNS-förfalskningsattack.

SMTP-attack för nedgradering

Säkerställa kryptering med MTA-STS

När du skickar e-postmeddelanden med SMTP-servern för dina e-postleverantörer som Gmail eller Microsoft överförs e-postmeddelandena från den sändande servern till den mottagande servern via SMTP (Simple Mail Transfer Protocol). SMTP tillåter dock opportunistisk kryptering, vilket innebär att kommunikationen mellan SMTP-servrar kan eller inte kan krypteras för att undvika manipulation eller avlyssning av e-postinnehåll. MTA-STS publiceras med HTTPS, vilket skyddar den mot MITM-attacker.

MTA-STS säkrar e-postleverans genom att: 

  • Framtvinga TLS-kryptering

  • Betjäna MX-posterna från en HTTPS-säker server

värd mta sts tjänster
var värd för MTA STS

MTA-STS-protokollet distribueras genom att ha en DNS-post som anger att en e-postserver kan hämta en principfil från en viss underdomän. Den här principfilen hämtas via HTTPS och autentiseras med certifikat, tillsammans med listan med namn på mottagarnas e-postservrar. Protokollet anger för en SMTP-server att kommunikationen med den andra SMTP-servern måste krypteras och att domännamnet på certifikatet ska matcha domänen för principfilen. Om MTA-STS tillämpas, om en krypterad kanal inte kan förhandlas, levereras inte meddelandet alls.

MTA-STS-principfilen

MTA-STS-principfilen är i huvudsak en enkel textfil, som ser ut så här:

version: STSv1
läge: framtvinga
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Anmärkning: Versionsfältet måste inkluderas i början av textfilen medan andra fält kan införlivas i valfri ordning.

Principfilen använder nyckelvärdesparning med varje värde kodat på en separat rad i textfilen enligt ovan. Storleken på den här filen kan sträcka sig upp till 64 KB. Namnet på principfilen måste vara mta-sts.txt. Principfiler måste uppdateras varje gång du lägger till eller ändrar e-postservrar i domänen.

Anmärkning: Om du ställer in MTA-STS i framtvingningsläge kan vissa e-postmeddelanden inte levereras till dig. Därför är det lämpligt att ställa in principläget på testning i stället och välja en låg max_age för att se till att allt fungerar korrekt innan du byter till att genomdriva principen. Vi rekommenderar att du ställer in TLS-RPT för din policy i testläge också för att bli meddelad om e-postmeddelanden skickas i klartext. 

mta sts-policy

Publicera MTA-STS-principfilen

För att kunna publicera MTA-STS-principfilen måste webbservern som är värd för filen:

  • Stöd FÖR HTTPS/SSL
  • Servercertifikatet måste signeras och verifieras av en rotcertifikatutfärdare från tredje part.

För att publicera en principfil för din domän bör du konfigurera en offentlig webbserver med underdomänen "mta-sts" som läggs till i domänen.. Den skapade principfilen måste publiceras i den välkända katalog som skapats i underdomänen. URL:en för den uppladdade MTA-STS-principfilen kan se ut ungefär så här:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

var värd för MTA STS

MTA-STS DNS-post

En TXT DNS-post för MTA-STS publiceras på domänens DNS för att ange att din domän stöder MTA-STS-protokoll och för att signalera för att uppdatera de cachelagrade värdena i MTA Om principen ändras. MTA-STS DNS-posten placeras på underdomäner _mta-sts som i: _mta-sts.powerdmarc.com. TXT-posten måste börja med v=STSv1, och id-värdet kan innehålla upp till 32 alfanumeriska tecken, som ingår på följande sätt:

 v=STSv1; id=30271001S00T000;

Anmärkning: TXT-post-ID-värdet måste uppdateras till ett nytt värde varje gång du gör ändringar i principen. 

MTA-STS DNS Record används för att: 

  • Ange stöd för MTA-STS för domänen
  • Signalera att MTA hämtar principen via HTTPS igen om principen ändras

Observera att med MTA-STS TXT DNS-posten kan principfilen lagras av MTA under en längre tidsperiod utan att behöva hämta principen igen om den inte har ändrats, samtidigt som en DNS-fråga fortfarande körs varje gång ett e-postmeddelande tas emot för domänen.

Konfigurera MTA-STS för din domän

För att aktivera MTA-STS för din domän måste du:

  • Lägg till en DNS-post av cname-typ mta-sts.example.com, riktad mot den HTTPS-aktiverade webbservern som är värd för MTA-STS-principfilen.

  • Lägg till en txt- eller cname-typ DNS-post på _mta-sts.example.com som anger stöd för MTA-STS för din domän.

  • Konfigurera en HTTPS-aktiverad webbserver med ett giltigt certifikat för din domän.

  • Aktivera SMTP TLS-rapportering för din domän för att identifiera problem i e-postleverans på grund av fel i TLS-kryptering.

spf-postuppslagsikon powerdmarc

Utmaningar som ställs inför när MTA-STS distribueras manuellt

MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll, vilket gör distributionsprocessen lång, tidskrävande och komplicerad. Därför hjälper vi på PowerDMARC dig att hantera det mesta i bakgrunden genom att bara publicera tre CNAME-poster i domänens DNS.

PowerDMARC:s värdtjänster för MTA-STS

PowerDMARC gör ditt liv mycket enklare genom att hantera allt detta för dig, helt i bakgrunden. När vi hjälper dig att ställa in det, behöver du aldrig ens tänka på det igen.

  • Vi hjälper dig att publicera dina cname-poster med bara några klick

  • Vi tar ansvar för att underhålla webbservern och vara värd för certifikaten

  • Genom våra värdbaserade MTA-STS-tjänster reduceras distributionen från din sida till att helt enkelt publicera några DNS-poster

  • Du kan göra MTA-STS-principändringar direkt och enkelt, via PowerDMARC-instrumentpanelen, utan att behöva göra ändringar manuellt i DNS

  • PowerDMARC:s värdbaserade MTA-STS-tjänster är RFC-kompatibla och stöder de senaste TLS-standarderna

  • Från att generera certifikat och MTA-STS-policyfil till policyutförande hjälper vi dig att undvika de enorma komplexiteter som är involverade i att anta protokollet

SMTP TLS-rapportering (TLS-RPT)

För att göra anslutningen mellan två kommunicerande SMTP-servrar säkrare och krypterad via TLS introducerades MTA-STS för att genomdriva kryptering och förhindra att e-postmeddelanden levereras i klartext, om någon av servrarna inte stöder TLS. Ett problem är dock fortfarande oadresserat, det vill säga: Hur meddelar du domänägare om fjärrservrar står inför problem i e-postleverans på grund av fel i TLS-kryptering? Här spelar TLS-RPT in, tillhandahåller diagnostiska rapporter för att möjliggöra övervakning och felsökning av problem i serverkommunikation, till exempel utgångna TLS-certifikat, felkonfigurationer i e-postservrar eller fel vid förhandling om en säker anslutning på grund av brist på stöd för TLS-kryptering.

TLS-rapporter hjälper till att upptäcka och svara på problem i e-postleverans genom en rapporteringsmekanism i form av JSON-filer. Dessa JSON filer kan vara komplicerade och oläsliga för en icke-teknisk person.

PowerDMARC hjälper till att förenkla JSON-filerna i form av enkelt. omfattande och läsbara dokument med diagram och tabeller för din bekvämlighet. Diagnostikrapporterna för din domän visas också i två format på PowerDMARC-instrumentpanelen: per resultat och per sändande källa.

powerdmarc tls rpt
json-diagram

Aktivera TLS-RPT för din domän

Processen att aktivera SMTP TLS-rapportering är ganska enkel. Allt du behöver göra för att aktivera den är att lägga till en TXT DNS-post på rätt plats, som _smtp._tls. till ditt domännamn. Med PowerDMARC kan detta dock ställas in direkt från PowerDMARC-användargränssnittet utan att du behöver göra några ändringar i din DNS!

Så snart du aktiverar TLS-RPT kommer medgivande e-postöverföringsagenter att börja skicka diagnostiska rapporter om problem med e-postleverans mellan att kommunicera servrar till den angivna e-postdomänen. Rapporterna skickas vanligtvis en gång om dagen, vilket täcker och förmedlar MTA-STS-policyerna som observerats av avsändare, trafikstatistik samt information om fel eller problem i e-postleverans.

Vanliga frågor och svar

Med PowerDMARC:s kontrollpanel kan du automatiskt konfigurera MTA-STS och TLS-RPT för din domän genom att bara publicera tre CNAME-poster i domänens DNS. Från att vara värd för MTAS-STS-policyfiler och certifikat till underhåll av webbservern tar vi hand om allt i bakgrunden utan att du behöver göra några ändringar i din DNS. Distributionen av MTA-STS från din sida med PowerDMARC reduceras till bara några klick.

Du kan distribuera och hantera MTA-STS för alla dina domäner från ditt PowerDMARC-konto via en enda glasruta. Om någon av dessa domäner använder mottagar e-postservrar som inte stöder STARTTLS, kommer den att återspeglas i dina TLS-rapporter förutsatt att du har TLS-RPT aktiverat för dessa domäner.

Det är alltid tillrådligt att ställa in ditt MTA-STS-principläge på testning under de inledande faserna av distributionen så att du kan övervaka aktiviteter och få insyn i ditt e-postekosystem innan du övergår till en mer aggressiv policy som enforce. På så sätt även om e-postmeddelandena inte skickas via en TLS-krypterad anslutning, skulle de fortfarande skickas i klartext.   Se dock till att du aktiverar TLS-RPT för att bli meddelad om det händer.

TLS-RPT är en omfattande rapporteringsmekanism som gör att du kan bli meddelad om en säker anslutning inte kunde upprättas och e-postmeddelandet inte kunde levereras till dig . Detta hjälper dig att upptäcka problem i e-postleverans eller e-post som levereras via en osäker anslutning så att du snabbt kan mildra och lösa dem.

Du måste notera att även om MTA-STS säkerställer att e-postmeddelanden överförs via en TLS-krypterad anslutning, om en säker anslutning inte förhandlas kan e-postmeddelandet misslyckas med att levereras alls. Detta är dock nödvändigt eftersom det säkerställer att e-post inte levereras över en okrypterad väg. För att undvika sådana problem är det lämpligt att konfigurera en MTA-STS-princip i ett testläge och aktivera TLS-RPT för din domän inledningsvis innan du fortsätter till MTA-STS-framtvingningsläget. 

Du kan enkelt ändra MTA-STS-läget från PowerMTA-STS-instrumentpanelen genom att välja önskat principläge och spara ändringar utan att behöva göra några ändringar i din DNS.

Du kan stänga av MTA-STS för din domän genom att antingen ange principläget till ingen, och därmed ange för MTA att din domän inte stöder protokollet eller genom att ta bort din MTA-STS DNS TXT-post. 

MX-posterna för MTA-STS-principfilen bör innehålla posterna för alla mottagande e-postservrar som används av din domän.

Schemalägg en demo idag
säker e-post powerdmarc